Política de Privacidad
Última actualización: 15 de junio de 2026
_Revisión de 15/06/2026: sin cambios sustanciales respecto a la versión del 19/04/2026._
1. Responsable del tratamiento
- Identidad: POLYCAR DIGITAL S.L. (titular de la marca FisKlIA)
- NIF: B24943136
- Domicilio: Calle de Colón 4, 3º 4ª, 46004 Valencia (España)
- Correo de contacto: privacidad@fisklia.com
- Registro Mercantil: Valencia, Hoja V-231298
POLYCAR DIGITAL S.L. (en adelante, "POLYCAR" o "el Responsable") informa al Usuario de la existencia de un tratamiento automatizado y no automatizado de datos de carácter personal y de las características del mismo, en aplicación del Reglamento (UE) 2016/679 de 27 de abril de 2016 (en adelante, "RGPD") y de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").
FisKlIA es una marca comercial de POLYCAR DIGITAL S.L., sin personalidad jurídica propia. Todas las referencias a "FisKlIA" en esta política se entienden hechas a POLYCAR.
2. Delegado de Protección de Datos
Dada la naturaleza de los tratamientos que realiza FisKlIA (en particular, el tratamiento de datos fiscales y el uso de certificados digitales cualificados), POLYCAR ha designado un punto de contacto único para cuestiones de protección de datos accesible a través del correo privacidad@fisklia.com. En caso de alcanzar los umbrales legales del artículo 37 RGPD, POLYCAR designará formalmente un Delegado de Protección de Datos (DPD) y lo comunicará oportunamente a la Agencia Española de Protección de Datos (AEPD) y a los usuarios.
3. Datos que se tratan y origen
Los datos se obtienen siempre del propio usuario en el momento del registro, durante el uso del Servicio o a través de su interacción con el Sitio. FisKlIA trata las siguientes categorías de datos:
3.1 Datos identificativos y de contacto
Nombre, apellidos, NIF/NIE/CIF, dirección postal, correo electrónico, teléfono.
3.2 Datos fiscales y contables
Facturación emitida y recibida, libros contables, modelos tributarios, cuentas bancarias (IBAN) a efectos de domiciliación, datos de clientes y proveedores del usuario, información incorporada a los modelos tributarios (por ejemplo, retenciones, bases imponibles, tipos de IVA, adquisiciones intracomunitarias).
3.3 Datos de autenticación
Credenciales de acceso (correo y contraseña cifrada mediante hash bcrypt), token de sesión, segundo factor de autenticación (TOTP), códigos de recuperación.
3.4 Datos técnicos de uso
Dirección IP, fecha y hora de acceso, navegador, sistema operativo, páginas visitadas, interacciones con el Servicio, logs técnicos. Se tratan con finalidad de seguridad, prevención del fraude y mejora del Servicio.
3.5 Datos de pago
Cuando el Usuario contrate un plan de pago, los datos de tarjeta bancaria no se almacenan en los sistemas de FisKlIA. Son tratados directamente por Stripe Payments Europe Limited, que actúa como encargado/subencargado con sus propias políticas PCI-DSS. FisKlIA únicamente conserva el identificador de cliente y de suscripción generado por Stripe.
3.6 Datos del certificado digital cualificado
Categoría especial de tratamiento. El Servicio requiere, para presentar declaraciones ante la Agencia Tributaria y otras Administraciones públicas, el uso del certificado digital cualificado del usuario o de la persona jurídica a la que representa.
FisKlIA NO custodia el certificado digital. La arquitectura del Servicio implementa un modelo de "certificado efímero en el lado del cliente":
- El certificado nunca se carga ni se almacena en los servidores de FisKlIA.
- La firma electrónica de los registros VeriFactu, SOAP AEAT y declaraciones tributarias se realiza mediante un agente local (software instalado en el equipo del usuario o de la persona autorizada) que accede al almacén de certificados del sistema operativo o a la tarjeta criptográfica mediante canales estándar (CryptoAPI en Windows, Keychain en macOS, NSS en Linux).
- FisKlIA solo recibe el resultado de la firma (XML firmado, respuesta de AEAT, CSV de confirmación) y el certificado público embebido en esas respuestas, nunca la clave privada.
- El agente local se comunica con FisKlIA mediante TLS 1.3 y autenticación por token rotativo.
Por tanto, si bien el certificado digital puede considerarse dato personal de naturaleza especial según la doctrina de la AEPD, POLYCAR no realiza tratamiento directo del mismo. En los casos excepcionales en los que el usuario comparta voluntariamente el certificado con POLYCAR (por ejemplo, durante una sesión de soporte), dicho tratamiento queda sometido al consentimiento expreso del interesado y se documenta como medida adicional.
4. Finalidades del tratamiento
| Finalidad | Base jurídica | Conservación |
|---|---|---|
| Prestación del Servicio y gestión del contrato | Ejecución de contrato (art. 6.1.b RGPD) | Mientras dure la relación + 5 años |
| Cálculo y preparación de declaraciones tributarias | Ejecución de contrato (art. 6.1.b) y obligación legal del usuario (art. 6.1.c) | 6 años (art. 30 Código de Comercio y art. 66 LGT) |
| Facturación y cobro | Obligación legal (art. 6.1.c) | 6 años |
| Soporte técnico y atención al cliente | Ejecución de contrato (art. 6.1.b) | 2 años tras última interacción |
| Envío de comunicaciones comerciales sobre productos similares | Interés legítimo (art. 6.1.f) y art. 21 LSSI | Hasta que el usuario se oponga |
| Boletines, novedades y promociones | Consentimiento (art. 6.1.a) | Hasta revocación |
| Seguridad, prevención del fraude y cumplimiento legal | Interés legítimo (art. 6.1.f) y obligación legal (art. 6.1.c) | 12 meses los logs técnicos |
| Análisis estadístico y mejora del Servicio | Interés legítimo (art. 6.1.f), previa anonimización | Indefinida una vez anonimizada |
Las comunicaciones comerciales solo se envían a usuarios registrados sobre productos o servicios análogos a los ya contratados, o bien con consentimiento expreso. En toda comunicación comercial se incluye un mecanismo sencillo y gratuito de oposición o baja.
5. Cesiones y destinatarios
Los datos personales pueden ser comunicados a las siguientes categorías de destinatarios:
5.1 Obligación legal
Agencia Estatal de Administración Tributaria (AEAT), Administraciones tributarias forales cuando proceda, Tesorería General de la Seguridad Social, Juzgados y Tribunales. Únicamente cuando exista obligación legal de hacerlo.
5.2 Proveedores tecnológicos que actúan como encargados del tratamiento
Estos encargados acceden a los datos estrictamente necesarios para prestar su servicio a POLYCAR, bajo contrato de encargo de tratamiento firmado conforme al artículo 28 RGPD:
| Encargado | Finalidad | Ubicación del tratamiento |
|---|---|---|
| Supabase Inc. | Alojamiento de la base de datos, autenticación y almacenamiento | UE (región Frankfurt) |
| Vercel Inc. | Alojamiento y entrega del frontend | UE y CDN global |
| Resend Inc. | Envío de correo transaccional | UE / EEUU con cláusulas tipo |
| Stripe Payments Europe Ltd | Procesamiento de pagos | UE (Irlanda) |
| Sentry | Captura de errores y monitorización | UE (Frankfurt) |
| Anthropic PBC | Procesamiento puntual con IA (reconocimiento OCR de facturas, si el usuario lo activa) | EEUU con cláusulas tipo |
El listado completo y actualizado de encargados y subencargados se publica y mantiene en el "Registro de Actividades de Tratamiento" accesible previa solicitud a privacidad@fisklia.com.
5.3 Transferencias internacionales
Algunos encargados pueden tratar datos fuera del Espacio Económico Europeo. En estos casos, POLYCAR garantiza la protección mediante Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, decisiones de adecuación vigentes (por ejemplo, Data Privacy Framework con EEUU cuando aplique al proveedor) o medidas suplementarias como cifrado extremo a extremo y pseudonimización.
6. Derechos del interesado
Conforme a los artículos 15 a 22 RGPD, el Usuario tiene derecho a:
- Acceso: obtener confirmación sobre si se están tratando sus datos y copia de los mismos.
- Rectificación: modificar datos inexactos o incompletos.
- Supresión (derecho al olvido): suprimir datos cuando ya no sean necesarios. Este derecho está limitado por las obligaciones legales de conservación (6 años fiscales), de modo que los datos con trascendencia tributaria serán bloqueados y no suprimidos hasta que transcurra dicho plazo.
- Oposición: oponerse al tratamiento por motivos relativos a su situación particular.
- Limitación: solicitar la limitación del tratamiento mientras se verifican otras reclamaciones.
- Portabilidad: recibir sus datos en formato estructurado y de uso común (JSON/CSV) y transmitirlos a otro responsable.
- No ser objeto de decisiones automatizadas con efectos jurídicos significativos. El Servicio ofrece cálculos y sugerencias fiscales pero la presentación definitiva requiere siempre revisión y firma del usuario.
6.1 Cómo ejercer los derechos
Dirigiendo una solicitud a privacidad@fisklia.com o por correo postal al domicilio del Responsable, adjuntando copia del documento de identidad. POLYCAR responderá en el plazo máximo de un mes, prorrogable a dos meses en casos de especial complejidad.
6.2 Reclamación ante la autoridad de control
Si el Usuario considera que el tratamiento de sus datos vulnera la normativa aplicable, tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), calle de Jorge Juan 6, 28001 Madrid, o a través de su sede electrónica www.aepd.es.
7. Seguridad
POLYCAR ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD:
- Cifrado en tránsito mediante TLS 1.3 y cifrado en reposo de la base de datos con AES-256.
- Contraseñas almacenadas mediante hash bcrypt con sal individual.
- Doble factor de autenticación (2FA) disponible y recomendado.
- Autenticación con claves de API rotativas para integraciones.
- Principios de "mínimo privilegio" y segregación de roles (administrador, contable, solo lectura) con Row Level Security a nivel de base de datos.
- Registros de auditoría de accesos y acciones sensibles.
- Copias de seguridad diarias cifradas con retención mínima de 30 días.
- Arquitectura "zero-custody" para certificados digitales cualificados.
- Monitorización continua de errores y anomalías mediante Sentry.
- Pruebas de seguridad periódicas sobre la aplicación y las dependencias.
7.1 Brechas de seguridad
En caso de producirse una brecha que pueda suponer un alto riesgo para los derechos del Usuario, POLYCAR lo notificará a la AEPD en el plazo de 72 horas y comunicará a los afectados sin dilación indebida conforme a los artículos 33 y 34 RGPD.
8. Menores
El Servicio está dirigido exclusivamente a mayores de edad y a personas jurídicas. No se recogen conscientemente datos de menores de 14 años. Si se detectara tal recogida, los datos serán eliminados de manera inmediata.
9. Cookies
El Sitio utiliza cookies propias y de terceros conforme a lo dispuesto en la Política de Cookies, que se facilita al Usuario en su primer acceso mediante un banner de configuración granular.
10. Modificaciones
POLYCAR se reserva la posibilidad de modificar la presente Política de Privacidad para adaptarla a novedades normativas o a cambios organizativos. La versión vigente será siempre la publicada en el Sitio con la fecha actualizada al inicio del documento. Si los cambios son sustanciales, se notificarán a los usuarios con al menos 30 días de antelación.